Tres fallas de seguridad interrelacionadas de alta gravedad descubiertas en Kubernetes podrían aprovecharse para lograr la ejecución remota de código con privilegios elevados en puntos finales de Windows dentro de un clúster.
Los problemas , registrados como CVE-2023-3676, CVE-2023-3893 y CVE-2023-3955, tienen puntuaciones CVSS de 8,8 y afectan a todos los entornos de Kubernetes con nodos de Windows. Las correcciones para las vulnerabilidades se publicaron el 23 de agosto de 2023, tras la divulgación responsable por parte de Akamai el 13 de julio de 2023.
«La vulnerabilidad permite la ejecución remota de código con privilegios de SISTEMA en todos los puntos finales de Windows dentro de un clúster de Kubernetes», dijo el investigador de seguridad de Akamai, Tomer Peled , en un artículo técnico compartido con The Hacker News. «Para explotar esta vulnerabilidad, el atacante necesita aplicar un archivo YAML malicioso en el clúster».
Amazon Web Services (AWS), Google Cloud y Microsoft Azure han publicado avisos para los errores, que afectan a las siguientes versiones de Kubelet:
- kubelet<v1.28.1
- kubelet<v1.27.5
- kubelet<v1.26.8
- kubelet <v1.25.13, y
- kubelet<v1.24.17
En pocas palabras, CVE-2023-3676 permite a un atacante con privilegios de «aplicación», lo que hace posible interactuar con la API de Kubernetes, inyectar código arbitrario que se ejecutará en máquinas Windows remotas con privilegios de SISTEMA.
«CVE-2023-3676 requiere privilegios bajos y, por lo tanto, establece un listón bajo para los atacantes: todo lo que necesitan es acceso a un nodo y aplicar privilegios», señaló Peled.
La vulnerabilidad, junto con CVE-2023-3955, surge como resultado de una falta de saneamiento de entrada, lo que permite analizar una cadena de ruta especialmente diseñada como parámetro para un comando de PowerShell, lo que efectivamente conduce a la ejecución del comando.
CVE-2023-3893, por otro lado, se relaciona con un caso de escalada de privilegios en el proxy de la Interfaz de almacenamiento de contenedores ( CSI ) que permite a un actor malicioso obtener acceso de administrador en el nodo.
«Un tema recurrente entre estas vulnerabilidades es un lapso en la desinfección de entradas en la portabilidad específica de Windows de Kubelet», destacó la plataforma de seguridad de Kubernetes ARMO el mes pasado.
«Específicamente, cuando se manejan definiciones de Pod, el software no valida ni desinfecta adecuadamente las entradas del usuario. Esta supervisión permite a los usuarios malintencionados crear pods con variables de entorno y rutas de host que, cuando se procesan, conducen a comportamientos no deseados, como la escalada de privilegios».
Actualizaciones de seguridad de Windows
- Microsoft Azure Kubernetes Service;
- Azure DevOps;
- Windows Cloud Files Mini Filter Driver;
- Microsoft Identity Linux Broker;
- 3D Viewer;
- Visual Studio Code;
- Microsoft Exchange Server;
- Visual Studio;
- Microsoft Office Word;
- Microsoft Office Outlook;
- Microsoft Office SharePoint;
- Microsoft Office;
- Microsoft Office Excel;
- 3D Builder;
- .NET Framework;
- .NET and Visual Studio;
- .NET Core & Visual Studio;
- Microsoft Dynamics Finance & Operations;
- Windows DHCP Server;
- Microsoft Streaming Service;
- Windows Kernel;
- Windows GDI;
- Windows Scripting;
- Microsoft Dynamics;
- Windows Common Log File System Driver;
- Windows Themes;
- Microsoft Windows Codecs Library;
- Windows Internet Connection Sharing (ICS);
- Windows TCP/IP;
- Azure HDInsights;
- Windows Defender.
La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 12 de septiembre, consta de 59 vulnerabilidades (con CVE asignado), calificadas 47 como importantes y 12 medias.
Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.
Las vulnerabilidades publicadas se corresponden con los siguientes tipos:
- escalada de privilegios,
- ejecución remota de código,
- suplantación de identidad (spoofing),
- divulgación de información,
- anulación de medidas de seguridad,
- denegación de servicio.
Los códigos CVE asignados a las vulnerabilidades reportadas, pueden consultarse en las referencias.
¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter y LinkedIn para leer más contenido que publicamos o contáctanos.